Tus temores, de dominio público: aplicaciones de salud mental filtran secretos a hackers
La era de los chatbots ha acabado definitivamente con el secreto médico.
Servicios móviles populares de apoyo a la salud mental en Android resultaron vulnerables a ataques. La verificación mostró que aplicaciones con una audiencia combinada de más de 14,7 millones de instalaciones pueden revelar registros terapéuticos, notas personales y otros datos sensibles de los usuarios.
La empresa Oversecured investigó diez aplicaciones alojadas en Google Play y detectó 1575 problemas de seguridad. Entre ellas, 54 vulnerabilidades de alto riesgo, 538 de riesgo medio y 983 de bajo. Se trata de rastreadores de estado de ánimo y de hábitos, chatbots con elementos de IA para terapia, servicios para el manejo de la ansiedad y la depresión, así como plataformas de apoyo en línea. Algunos de estos productos se presentan como herramientas de ayuda para la depresión clínica, los ataques de pánico y el trastorno bipolar.
Aunque no se detectaron errores críticos, muchos de los defectos hallados permiten interceptar credenciales, falsificar notificaciones, inyectar código HTML malicioso y determinar la ubicación del usuario. En una de las aplicaciones con más de un millón de descargas, los especialistas hallaron más de 85 vulnerabilidades de nivel medio y alto. La aplicación procesaba URI externos sin la verificación adecuada y lanzaba componentes internos, lo que abría acceso a secciones internas donde se almacenan tokens de autenticación e información de sesiones. Si se explotaran con éxito, un atacante podría acceder a los registros de terapia.
En varios casos, las aplicaciones guardaban datos localmente de forma que otras aplicaciones en el dispositivo podían leerlos. Esto afecta a las notas de las sesiones de terapia cognitivo-conductual, las evaluaciones del estado y los diarios personales. En los archivos APK se encontraron datos de configuración en texto sin cifrar, incluidos las direcciones de API y el enlace codificado a una base de datos de Firebase.
Algunos servicios usaban la clase java.util.Random para generar tokens de sesión y claves de cifrado, lo que no satisface los requisitos modernos de resistencia criptográfica. Además, la mayoría de las aplicaciones analizadas no detectan dispositivos con acceso root, donde cualquier aplicación con privilegios elevados puede leer la información médica almacenada localmente.
Según el fundador de Oversecured, Sergey Toshin, los datos sobre salud mental tienen un valor especial en los mercados clandestinos y pueden costar considerablemente más que los datos bancarios. Al mismo tiempo, seis de cada diez servicios afirman la confidencialidad de las comunicaciones o su cifrado en los servidores del proveedor.
La verificación se realizó el 22 y 23 de enero y cubrió las últimas versiones disponibles de las aplicaciones. Solo cuatro de ellas se actualizaron en febrero; las restantes recibieron actualizaciones en noviembre de 2025 o incluso en septiembre de 2024. No se divulgan los nombres de las aplicaciones, ya que los desarrolladores todavía están corrigiendo los problemas identificados.